손상된 서비스 계정이 중요한 역할을 한 세 가지 사이버 공격

서비스 계정 보안은 매우 어려운 작업입니다. 이러한 어려움의 주된 이유 중 하나는 서비스 계정 잊고 방치되는 경우가 많습니다. 아무도 그들의 사용을 추적하거나 악의적인 행위자가 손상 및 사용하지 않는다는 것을 검증하지 않습니다.

또한 이러한 계정에 대한 가시성을 XNUMX으로 제한하는 것이 핵심 과제입니다. 서비스 계정 보안. 서비스 계정에 대한 가시성이 부족하기 때문에 위협 행위자의 매력적인 표적이 됩니다. 이러한 계정을 사용하여 중요한 데이터, 시스템 및 리소스에 대한 무단 액세스 권한을 얻을 수 있으며 많은 경우 조직 환경에서 측면으로 이동합니다. 서비스 계정에 대한 성공적인 공격의 결과는 데이터 도용, 시스템 손상 및 완전한 네트워크 탈취를 포함하여 심각할 수 있습니다.

이 게시물에서는 위협 행위자가 서비스 계정을 표적으로 삼을 때 사용하는 특정 공격 기술을 살펴보고 서비스 계정이 손상되어 공격자가 내부 이동을 도왔던 몇 가지 잘 알려진 데이터 유출을 강조합니다.

서비스 계정 손상 및 사용에 사용되는 공격 방법

위협 행위자는 서비스 계정을 손상시키고 사용하기 위해 다양한 기술을 구현합니다. 가장 일반적으로 사용되는 용어를 자세히 살펴보겠습니다. 신원 기반 공격 사용된 방법과 서비스 계정을 얼마나 구체적으로 목표로 하는지.

브 루트 포스

무차별 암호 대입 공격은 위협 행위자가 사용하는 가장 일반적인 방법으로 올바른 문자를 찾을 때까지 가능한 모든 문자 조합을 시도하여 암호 또는 암호화 키를 추측하려고 시도합니다. 이 방법은 약하거나 쉽게 추측할 수 있는 암호에 특히 효과적입니다. 위협 행위자는 일반적으로 자동화된 도구를 사용하여 작동하는 암호를 찾을 때까지 다른 암호를 빠르게 시도합니다.

위협 행위자는 종종 무차별 암호 대입 공격을 사용하여 암호가 약하거나 암호 정책이 없는 서비스 계정을 손상시키고, 때로는 이러한 유형의 공격으로부터 보호하기 위해 마련된 보안 조치를 우회하려고 시도합니다.

케르베로스팅

Kerberoasting 공격은 다음을 대상으로 하는 공격 유형입니다. Kerberos 사용자의 암호 해시를 얻기 위한 인증 프로토콜 Active Directory 서비스 계정과 같은 서비스 사용자 이름(SPN) 값을 사용합니다.

위협 행위자는 먼저 연결된 SPN이 있는 대상 사용자를 식별합니다. 그런 다음 사용자 계정과 연결된 특정 SPN에 대한 Kerberos 서비스 티켓을 요청합니다. 서비스 티켓은 사용자의 해시를 사용하여 암호화됩니다. 다음으로 공격자는 오프라인 크래킹을 통해 hhash 자체를 획득하고 원래의 일반 텍스트 암호를 복제할 수 있습니다.

서비스 계정에는 SPN이 연결되어 있는 경우가 많기 때문에 타겟팅되는 경우가 많습니다. 이 계정은 다른 계정에 대한 서비스 티켓을 요청하는 데 사용할 수 있습니다. 사용자 계정.

패스 더 해시

Pass-the-hash 공격에서 공격자는 암호 해시를 사용하여 실제 암호를 알 필요 없이 네트워크의 다른 시스템이나 서비스에 대한 NTLM 인증을 수행할 수 있습니다.

Pass-the-hash 공격을 수행하기 위해 공격자는 먼저 손상된 엔드포인트의 메모리에서 추출하거나 서비스 계정의 인증 트래픽을 가로채어 서비스 계정의 암호 해시를 얻습니다.

손상된 서비스 계정을 사용한 악명 높은 사이버 공격

최근 몇 년 동안 서비스 계정이 위협 행위자에 의해 성공적으로 손상되는 세간의 이목을 끄는 데이터 유출이 여러 차례 발생했습니다. 이러한 공격은 위협 행위자가 구성된 서비스 계정을 표적으로 삼아 내부로 이동하는 방법을 보여주는 명확한 예입니다. 이러한 사례를 이해하면 보안되지 않은 서비스 계정과 관련된 위험과 조직이 위험을 완화하기 위해 취할 수 있는 조치를 더 잘 이해할 수 있습니다.

SolarWinds

SolarWinds 공격은 2020년 XNUMX월 공급망 공격. 공격자는 SolarWinds Orion IT 관리 플랫폼 구축 프로세스를 손상시키고 코드베이스에 악성 백도어를 삽입했습니다. 이 백도어는 합법적인 소프트웨어 업데이트를 통해 수많은 조직에 배포되었습니다. 일단 대상 네트워크에 설치된 백도어는 위협 행위자에게 대상 시스템에 대한 지속적인 액세스 권한을 제공하여 데이터를 유출하고 네트워크 내에서 측면으로 이동할 수 있도록 합니다.

서비스 계정이 관련된 방식

서비스 계정은 SolarWinds 공격에서 중요한 역할을 했습니다. 손상된 서비스 계정은 공격자가 표적 네트워크를 통해 측면 이동하고 리소스에 액세스하는 데 사용되었습니다. 공격자는 높은 수준의 권한을 가진 서비스 계정을 표적으로 삼았고 이를 통해 중요한 시스템과 데이터에 액세스할 수 있었습니다.

위협 행위자가 SolarWinds Orion IT 관리 플랫폼에 대한 액세스 권한을 얻은 후 SolarWinds의 여러 서비스 계정에 대한 자격 증명을 얻을 수 있었습니다. 이러한 계정이 손상되면 공격자는 SolarWinds 서비스 계정을 사용하여 ADFS 서버에 도달할 때까지 네트워크를 통해 측면 이동했습니다.  

미국 인사관리국

데이터 유출 미국 인사 관리국(OPM) 이는 2015년 XNUMX월에 발견되었습니다. 이는 중국 APT(Advanced Persistent Threat)의 국가 지원 사이버 스파이 작전의 전형적인 예입니다. OPM 침해는 기관 IT 인프라의 여러 기술 및 구조적 격차로 인해 발생했습니다. 위협 행위자는 제XNUMX자 계약자 소유의 훔친 자격 증명을 사용하여 OPM 시스템에 액세스할 수 있었습니다. 특권 그들의 네트워크에 대한 액세스.

서비스 계정이 관련된 방식

공격자는 처음에 스피어 피싱 이메일을 통해 OPM 네트워크에 액세스하여 여러 OPM 계약자의 자격 증명을 얻을 수 있었습니다. 일단 네트워크에 침투한 공격자는 손상된 자격 증명을 사용하여 KGS(KeyPoint Government Solutions) 계약자의 서비스 계정을 비롯한 여러 서비스 계정에 대한 액세스 권한을 얻었습니다. 이 계정에는 높은 수준의 권한이 있으며 중요한 OPM 시스템을 관리하는 데 사용되었습니다.

위협 행위자는 KGS 계약자의 서비스 계정을 사용하여 네트워크를 통해 측면으로 이동하고 수백만 명의 현직 및 전직 연방 직원의 배경 조사 기록을 포함하여 민감한 데이터에 액세스했습니다. 위협 활동가는 몇 달 동안 이 데이터를 유출할 수 있었으며 그 동안 탐지되지 않았습니다. 또한 서비스 계정을 사용하여 네트워크에 백도어를 생성하여 초기 위반이 감지된 후에도 네트워크에 대한 액세스를 유지할 수 있었습니다.

메리어트

2018년 공개된 메리어트의 공격 기록상 가장 큰 데이터 유출 중 하나였습니다. 위협 행위자는 Marriott의 예약 데이터베이스에 액세스할 수 있는 타사 공급업체를 통해 회사 시스템에 액세스했습니다. 일단 네트워크 내부에 들어가면, 그들은 측면으로 이동할 수 있었고 Marriott's에서 권한을 확대할 수 있었습니다. Active Directory 하부 구조. 공격자는 액세스 권한을 얻은 후 몇 년 동안 데이터를 훔치는 데 사용된 맬웨어를 설치했습니다. 침입은 몇 달 동안 감지되지 않았기 때문에 위협 행위자가 대량의 데이터를 훔칠 수 있는 충분한 시간을 제공했습니다.

서비스 계정이 관련된 방식

위협 행위자는 도메인 수준 관리자 액세스 권한이 있는 두 개의 권한 있는 서비스 계정의 자격 증명을 얻을 수 있었습니다. 그들은 위협 행위자가 암호 해시를 사용한 다음 수백만 고객의 민감한 개인 및 금융 정보가 포함된 Marriott의 Starwood 예약 시스템에 액세스할 수 있는 높은 수준의 권한을 가진 서비스 계정을 손상시키는 데 사용되는 해시 전달 공격을 배포했습니다.

이러한 서비스 계정은 Marriott 네트워크 전체에서 민감한 시스템과 데이터에 액세스할 수 있었고 공격자는 손상을 통해 네트워크를 통해 측면 이동하고 오랜 기간 동안 Marriott의 보안 컨트롤에 의해 감지되지 않고 권한을 확대할 수 있었습니다.

공통 스레드: 서비스 계정 도용

각각의 경우에 공격자는 손상된 서비스 계정을 사용하여 피해자의 네트워크를 가로질러 이동함으로써 민감한 시스템이나 데이터에 대한 무단 액세스 권한을 얻을 수 있었습니다. 이러한 위반은 무단 액세스를 방지하고 위반 위험을 줄이기 위해 서비스 계정을 적절하게 관리하고 보호하는 것이 중요함을 강조합니다.

다음 단계: 서비스 계정 보안 Silverfort

서비스 계정을 표적으로 삼을 때 위협 행위자가 사용하는 공격 방법과 서비스 계정이 연루된 세간의 이목을 끄는 침해 사례를 살펴보았으므로 이제 다음 게시물에서 방법을 보여드리겠습니다. Silverfort 암호를 교체할 필요 없이 완벽한 가시성, 위험 분석 및 적응형 액세스 정책을 제공하여 조직이 서비스 계정을 검색, 모니터링 및 보호할 수 있도록 지원합니다.